选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

集中成员账户的根访问

PDF
RSS
聚焦模式
集中成员账户的根访问 - AWS Identity and Access Management
先决条件启用集中的根访问(控制台)启用集中的根访问(AWS CLI)启用集中的根访问(AWS API)后续步骤

根用户凭证是分配给具有对账户中所有 AWS 服务和资源的完全访问权限的每个 AWS 账户的初始凭证。启用 AWS Organizations 后,您可以将所有 AWS 账户合并到一个组织中进行集中管理。每个成员账户都有自己的根用户,该用户拥有在成员账户中执行任何操作的默认权限。建议您集中保护使用 AWS Organizations 管理的 AWS 账户的根用户凭证,以防止大规模的根用户凭证恢复和访问。

集中根访问后,您可以选择从组织的成员账户中删除根用户凭证。您可以移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA)。默认情况下,您在 Organizations 中创建的新账户不具有根用户证书。成员账户不能登录到他们的根用户或为其根用户执行密码恢复。

如果您需要恢复成员账户的根用户凭证,则可以为该账户启用密码恢复。有些任务只能在您以账户的根用户身份登录时执行。其中一些 需要根用户凭证的任务 可以由管理账户或 IAM 的委派管理员执行。建议您在完成需要访问根用户的任务后删除根用户凭证。要详细了解您可以执行的特权任务,请参阅执行特权任务

先决条件

在集中根访问之前,必须为账户配置以下设置:

  • 必须在 AWS Organizations 中管理您的 AWS 账户。

  • 您必须具有以下权限才能在组织中启用此功能:

    • iam:EnableOrganizationsRootCredentialsManagement

    • iam:EnableOrganizationsRootSessions

    • organizations:RegisterDelegatedAdministrator

    • organizations:EnableAwsServiceAccess

启用集中的根访问(控制台)

要在 AWS Management Console中为成员账户启用此功能

  1. 登录 AWS Management Console,然后打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在控制台的导航窗格中,选择根访问权限管理,然后选择启用

    注意

    如果您看到已禁用根访问权限管理,请在 AWS Identity and Access Management 中启用 AWS Organizations 的可信访问。有关详细信息,请参阅《AWS Organizations 用户指南》中的 AWS IAM 和 AWS Organizations

  3. 在“要启用的功能”部分,选择要启用的功能。

    • 选择根凭证管理,以允许管理账户和 IAM 的委派管理员删除成员账户的根用户凭证。您必须在成员账户中启用特权根操作,以允许成员账户在删除其根用户凭证后恢复这些凭证。

    • 选择成员账户中的特权根操作,以允许管理账户和 IAM 的委派管理员执行某些需要根用户凭证的任务。

  4. (可选)输入获得授权管理根用户访问并对成员账户采取特权措施的委派管理员的账户 ID。建议使用用于安全或管理目的的账户。

  5. 请选择启用

启用集中的根访问(AWS CLI)

要从 AWS Command Line Interface(AWS CLI)启用集中式根用户访问权限

  1. 如果您尚未在 AWS Organizations 中启用 AWS Identity and Access Management 的可信访问权限,则请使用以下命令:aws organizations enable-aws-service-access

  2. 使用以下命令允许管理账户和委派管理员删除成员账户的根用户凭证:aws iam enable-organizations-root-credentials-management

  3. 使用以下命令允许管理账户和委派管理员执行需要根用户凭证的特定任务:aws iam enable-organizations-root-sessions

  4. (可选)使用以下命令注册委派管理员:aws organizations register-delegated-administrator

    以下示例将账户 111111111111 分配为 IAM 服务的委派管理员。

    aws organizations register-delegated-administrator 
--service-principal iam.amazonaws.com
--account-id 111111111111

启用集中的根访问(AWS API)

要从 AWS API 启用集中式根用户访问权限

  1. 如果您尚未在 AWS Organizations 中启用 AWS Identity and Access Management 的可信访问权限,则请使用以下命令:EnableAWSServiceAccess

  2. 使用以下命令允许管理账户和委派管理员删除成员账户的根用户凭证:EnableOrganizationsRootCredentialsManagement

  3. 使用以下命令允许管理账户和委派管理员执行需要根用户凭证的特定任务:EnableOrganizationsRootSessions

  4. (可选)使用以下命令注册委派管理员:RegisterDelegatedAdministrator

后续步骤

集中保护组织中成员账户的特权凭证后,请参阅执行特权任务以对成员账户采取特权操作。

本页内容

Related resources

AWS Identity and Access Management API 参考
AWS Identity and Access Management 的 AWS CLI 命令
SDK 和工具 

Related resources

AWS Identity and Access Management API 参考
AWS Identity and Access Management 的 AWS CLI 命令
SDK 和工具 
隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。